حملة برمجيات WeedHack الخبيثة

كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة متطورة تستهدف لاعبي ماينكرافت، باستخدام يوتيوب والتلاعب بمحركات البحث لإصابة المستخدمين ببرمجيات خبيثة قادرة على السيطرة على أنظمتهم.

بدأت هذه العملية، التي تُعرف باسم "Weedhack"، في يناير 2026. يقوم المهاجمون بإخفاء برامجهم الخبيثة على هيئة عملاء وتعديلات للعبة ماينكرافت، لجذب المستخدمين إلى تحميل ملفات مصابة. وقد حدد الباحثون 3820 ملف JAR خبيثًا فريدًا وأكثر من 240 رابطًا إلكترونيًا تُستخدم في توزيع هذه البرامج الضارة.

لتحقيق أقصى قدر من الانتشار، تعتمد الحملة على أساليب تضليل محركات البحث ومحتوى يوتيوب يروج لتعديلات ماينكرافت التي يُزعم أنها شرعية. وقد حدد المحققون بالفعل العديد من مقاطع الفيديو وقناتين على الأقل على يوتيوب توجهان المشاهدين إلى مواقع تحميل خبيثة.

منصة إجرامية محترفة تقف وراء الحملة

يتمحور جوهر العملية حول لوحة تحكم متطورة مُستضافة على موقع weedhack.to، تُتيح للمجرمين الإلكترونيين الوصول إلى بيانات الاعتماد المسروقة، ومعلومات النظام، وقدرات مراقبة الأجهزة المخترقة. كما تُمكّن المنصة المستخدمين من إنشاء حمولات برمجية خبيثة مُخصصة تستهدف إصدارات Minecraft من 1.21.0 إلى 1.21.11، بل وحتى حقن أكواد خبيثة في تعديلات Minecraft المشروعة.

يتم تسويق منظومة البرمجيات الخبيثة عبر قناة على تطبيق تيليجرام تضم أكثر من 850 عضواً. وتُعدّ هذه القناة مركزاً للإعلان عن الخدمة، وتوزيع التحديثات، وتقديم الدعم الفني لمستخدمي المنصة.

كيف تعمل سلسلة العدوى

يبدأ الهجوم عندما يقوم الضحية بتنزيل ملف JAR خبيث باسم DonutDupe.jar من أحد المواقع الإلكترونية الاحتيالية. بمجرد تشغيله، يسترجع الملف معلومات خادم التحكم والسيطرة (C2) عبر تقنية EtherHiding، وهي تقنية تستغل سلسلة كتل إيثيريوم كخادم وسيط للوصول غير المصرح به.

ثم يتصل البرنامج الخبيث ببنية التحكم والسيطرة ويقوم بتنزيل حمولة ثانية مبنية على لغة جافا تُعرف باسم Elevator.jar. يقوم هذا المكون بجمع معلومات النظام، وإنشاء استثناءات في برنامج Microsoft Defender، وتجهيز النظام لنشر برامج خبيثة إضافية.

تُنشئ الحمولة الثالثة، SecurityManager.jar، امتدادًا دائمًا على الجهاز المصاب وتعمل كمكون تمهيدي. وأخيرًا، يتم تسليم Component.jar، مما يُتيح وظيفة الوصول عن بُعد التي تمنح المهاجمين تحكمًا واسعًا في الأنظمة المخترقة.

عروض البرامج الضارة المجانية والمدفوعة

تُقدم منصة Weedhack من خلال مستويين للاشتراك:

المستوى المجاني : يتضمن برنامجًا قويًا لسرقة المعلومات قادرًا على جمع معرفات جلسات ماينكرافت، والبيانات من أربعة مشغلات ماينكرافت، ولقطات الشاشة، والملفات، ومعلومات النظام، وملفات تعريف الارتباط للمتصفح، وكلمات المرور من 36 متصفح ويب، ومعلومات من 56 محفظة عملات مشفرة قائمة على المتصفح و12 تطبيق محفظة سطح المكتب، بالإضافة إلى بيانات الاعتماد المرتبطة بـ Discord وSteam وTelegram.
المستوى المميز : متوفر ابتداءً من 4.99 دولارًا شهريًا أو 24.99 دولارًا للحصول على ترخيص مدى الحياة، يضيف هذا الإصدار ميزات متقدمة للوصول عن بعد مثل مراقبة كاميرا الويب، وتسجيل ضغطات المفاتيح، وتنفيذ shell العكسي، ومشاركة الشاشة مع التحكم في لوحة المفاتيح والماوس، وإمكانيات نقل الملفات.
نطاق عالمي وعوائق أقل أمام الجرائم الإلكترونية

تم تسجيل معظم الإصابات في الولايات المتحدة، تليها ألمانيا والهند والمملكة المتحدة وإيطاليا وفيتنام وكندا والنرويج والسويد وفنلندا وإسبانيا.

من أبرز سمات برنامج Weedhack توفره على الإنترنت المفتوح بدلاً من الأسواق السرية. فمن خلال توفير وصول مجاني إلى برامج خبيثة متطورة مصحوبة بدروس تعليمية مفصلة، تُسهّل المنصة بشكل كبير دخول المجرمين الإلكترونيين الطموحين إلى عالم الجريمة الإلكترونية. كما أن القدرة الإضافية على سرقة حسابات Minecraft تزيد من جاذبيته لدى المستخدمين الأصغر سنًا، مما يجعل الحملة خطيرة وفعّالة للغاية.

من الجرائم الإلكترونية إلى التنمر الإلكتروني

لاحظ الباحثون أيضاً بُعداً اجتماعياً مثيراً للقلق لهذه الحملة. يبدو أن العديد من العملاء هم من المراهقين والشباب الذين يستغلون خصائص الوصول عن بُعد للبرمجيات الخبيثة لترهيب الضحايا ومضايقتهم ومراقبتهم.

وثّق المحققون حالات قام فيها المهاجمون بتسجيل الضحايا سراً من خلال كاميرات الويب المخترقة، ثم قاموا لاحقاً بنشر اللقطات على قناة Telegram على أنها "جوائز". يسلط هذا السلوك الضوء على كيف أن منصات البرامج الضارة مثل Weedhack لا تسهل فقط الجرائم الإلكترونية التقليدية، بل تمكّن أيضاً من التنمر الإلكتروني الموجه والمضايقات الرقمية.